Windows文件审核日志审核记录

日志格式为EvtLog

用自带时间管理器查看不方便，故做个记录。

Log Parser

语法是SQL语法，常用DATAGRID输出方式进行查看比较方便，同样支持输出为其他数据类型文件：

命令行查询

logparser.exe -i:evt -o:datagrid "select * from [文件路径]"
使用SQL语句文件查询

logparser.exe -i:evt -o:datagrid file：[sql语句文件路径]

Log Parser Studio

logparser的UI化界面。

常用的文件审核日志删选类型：

详细文件操作日志ID：4656

1
2
3
4
5
6


[安全ID]|[用户]|[域]|0x16ec2c7fa|File|[IP]|57243|[文件对象]|0x110080|%%1537   ->这个ID是对此文件操作的方式记录
				%%1541
				%%4423
				|%%1537:	%%1801	D:(A;;0x1301bf;;;WD)
				%%1541:	%%1801	D:(A;;0x1301bf;;;WD)
				%%4423:	%%1801	D:(A;;0x1301bf;;;WD) ->中括号的ID是该用户拥有的此文件的权限。

对于文件权限的ID，可以查看此链接：事件4656说明

常见ID说明：

读取：4416/4419/4423/1538
写入：4417/4418/4420/4424/1539
删除：4422/1537